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International application No. 
PCT/FR 00/00130 



A. CLASSIFICATION OF SUBJECT MATTER 
IPC 7 : H04L 9/06 

International Patent Classification (IPC) or to both national classification and IPC 



B. FIELDS SEARCHED 



Minimum documentation searched (classification system followed by classification symbols) 
IPC 7 : H04L. G06F 

Documentation searched other than minimum documentation to the extent that such documents are included in the fields searched 



Electronic data base consulted during the international search (name of data base and. where practical, search terms used) 



C. DOCUMENTS CONSIDERED TO BE RELEVANT 



Category* 



Citation of document, with indication, where appropriate, of the relevant passages 



Relevant to claim No. 



MIYAGUCHI S: "SECRET KEY CIPHERS THAT CHANGE THE 
ENCIPHERMENT ALGORITHM UNDER THE CONTROL OF THE KEY 1 
NTT REVIEW, 
Vol. 6, no. 4, 

01 July 1994 (01.07.94), pages 85-90. 

XP000460342 

The whole document 
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^Further documents are listed in the continuation of box C. 



^Patent family members are listed in annex. 



* Special categories of cited documents: 

"A" document defining the general state of the art which is not 
considered to be of panicular relevance 

"C" earlier document but published on or after the international filing 
date 

"L" document which may throw doubts on priority claim(s) or which 
is cited lo establish the publication date of another citation or 
other special reason (as specified) 

"CT document referring to an oral disclosure, use. exhibition or other 
means 

"P" document published prior to the international filing date but later 
than the priority date claimed 



"T" later document published after the international filing date or 

priority date and not in conflict with the application but cited to 
understand the principle or theory underlying the invention 

"X" document of particular relevance, the claimed invention cannot be 
considered novel or cannot be considered to involve an inventive 
step when the document is taken alone 

"Y T * document of particular relevance; the claimed invention cannot be 
considered to involve an inventive step when the document is 
combined with one or more other such documents, such 
combination being obvious to a person skilled in the art 

document member of the same patent family 



Dale of the actual completion of the international search 
12 April 2000(12.04.00) 


Date of mailing of the international search report 
19 April 2000 (19.04.00) 


Name and mailing address of the ISR 
European Patent Office 


Authorized officer 
Telephone No. 



Form PCT/ISA/210 (second sheet) (July 1998) 



INTERNATIONAL SEARCH REPORT 

Information on patent family members 



lniero^^D , 



Application No 

PCT/FR 00/00130 



Patent document 
cited in search report 



Publication 
date 



Patent familiy 
member(s) 



Publication 
date 



FR 2672402 



07-08-1992 



NONE 



Form PCT/ISA/210 (patent family annex) (July 1992) 



RAPPORT DE 



ERCHE INTERNATIONALE 



foe lnt©rnatlociaie No 

PCT/FR 00/00130 



A. CLASS EM ENT DE L'OBJET de la oemanoe 

CIB 7 H04L9/06 



Salon classification interoationaic pes brevets <C)B) ou a la fols seion la classification nationals c! la Clfl 

B. OOMAINES SUR LESQUELS LA RECHERCHE A PORTE 

Documentation mint mate aonauliea (ay sterna de classification suivl des sy rnboies da classe-mant) 

CIB 7 H04L G06F 



Documentation consuttec autre que ia documentation minimaje dans la mesure ou cas documents relevant das domaines sur lesquets a pone la rcchcrcho 



Base as donnees eiectnonique consultec au cours oe la recherche Internationale (nom ce la oase de donneea, et si realisable. Icrmcs ae rechercne utilises) 



C. DOCUMENTS CONSIDERES COUNE PERTINENTS 



Calsgohc * IdefrtMcailon des documents dies. avec. le cas echeant, I'ndica^on aes passages peainems 



no. des revend] cations vlaees 



MIYAGUCHI S: "SECRET KEY CIPHERS THAT 
CHANGE THE ENCIPHERMENT ALGORITHM UNDER 
THEC0NTR0L OF THE KEY" 
NTT REVIEW, 
vol. 6, no. 4, 

1 juillet 1994 (1994-07-01), pages 85-90, 

XP000460342 

le document en entier 

-/- 



1-10 



QJ 



Voir la suite dg cadre C pour la fin de ta liate oes documents 



Les aocjjmema de families de brevets som indlques en annexe 



0 Categories spectalss ae aocuments cites: 

"A" document o6tinlssunt retai genera) ce la technique, non 
consldera comma partrcuti eremant pertinent 

document anierieur, mala puplie a la date de depot international 

ou aprss oetta date 
"L" document pouvanl Jeter un douts sur unc revenaJcation de 

priortle ou cite pour determiner ia daxe de publication d'une 

autre citation ou pour unc ratson speclaie (telle qui nalquee) 
"O" document se referanl a una divulgation oralo. a un usage, a 

unc exposition ou iou& autres moyens 

~P" document pubBe avant la a ate ac depot International, mats 
pasiedeurement a la aate da priori te revenaiquee 



"T - documenr utierleur pubrte acres la oate de depot International ou la 
date de prtorne et n'apparfenenant pas a I ctai ac la 
technique pertinent, mate etie pour corrt prendre u? prindpe 
ou la theorle constrtuant la oase de llnveniion 

"X" document partlculierement penineni; ilnven lion revenaiquee ne peut 
era consfderee comma nouvelie ou oommc tmpfiquant unc activita 
fnventive par rapport au document eonsiaere I sol erne nl 

•Y" document pa/ticutiarernem pertinent; ilnven lion rcvenciqu6c 

ne peut etre coneideree com me impliquara una acirvlte Inventive 
torsque le document est as&ocie a on ou pjuajeurs awes 
aocuments de memo nature, cctte comotnaison etant evideme 
pour unc personnecu metier 

-a- document qui fan pante ae la meme rarnlile ac brevets 



Date a taquelie Ia rechercne Intematlonate a ele etfecrivement achevee 

12 avril 2000 


Date o'expediiion du preseni rapport do recherche intern aiionale 

19/04/2000 


Nom el adresse postal e Ce raaministra^on chargee de la recherche irrtamationala 
Office European de« Brevets, P.E4, 5S18 Paxentfaan 2 
ML - 2280 HV Riiswljk 
Tel. (-31-70) 340-2040. Tx. 31 651 epo nl. 
Fax: (,-31-70) 340-3016 


Fonaronnaire autortee 

Gautier, L 



Formal 3! re PCT/|SA/210 (deux*) me fegjife) OuWot 1992} 
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RAPPORT DE 



ERCHE INTERNATIONALE 



RerttOtgnemonta reiatrfs bux mombraade 1am Hies de brevets 



CfesrnandM Internationale No 

PCT/FR 00/00130 



Document brevet cite 
au rapport de recherche 



Date de 
publication 



Membre{s) de la 
famtlle de brevet(s) 



Dale de 
publication 



FR 2672402 



07-08-1992 



AUCUN 



Formukiro PCT/ISA/Z10 (annexe tamitles de cravats) (juiiw 1832) 



TRAITE DE 



PERATION EN MATIERE DE B 

PCT 



ETS 



RAPPORT DE RECHERCHE INTERNATIONALE 
(article 18 et regies 43 et 44 du PCT) 



Reference du dossier du deposant ou 
du mandataire 

GEM0630 


POUR SUITE voir la notification de transmission du rapport de recherche internationale 
(formulaire PCT/ISA/220) et, le cas echeant, le point 5 ci-apres 

A DONNER 


Demande internationale n° 
PCT/FR 00/00130 


Date du depdt \r\terr\ationa\(jour/mois/ann6e) 

20/01/2000 


(Date de priority (la plus ancienne) 
(jour/mois/ann&e) 

17/02/1999 


Deposant 

GEMPLUS et al . 



Le present rapport de recherche internationale, dtabli par I'administration chargee de la recherche internationale, est transmis au 
deposant conformement a I'article 18. Une copie en est transmise au Bureau international. 

Ce rapport de recherche internationale comprend 3 feuilles. 

PH II est aussi accompagne d'une copie de chaque document relatif a I'etat de la technique qui y est cite. 



1 . Base du rapport 

a. En ce qui concerne la langue, la recherche internationale a eta" effectuee sur la base de la demande internationale dans la 
langue dans laquelle etle a ete deposee, sauf indication contraire donnee sous le m§me point. 

| | la recherche internationale a ete effectuee sur la base d'une traduction de la demande internationale remise a I'administration. 

b. En ce qui concerne les sequences de nucleotides ou d'acides amines divulguees dans la demande internationale (le cas echeant) 
la recherche internationale a ete effectuee sur la base du listage des sequences : 

| | contenu dans la demande internationale, sous forme ecrite. 

deposee avec la demande internationale, sous forme dechiffrable par ordinateur. 
remis ulterieurement a ('administration, sous forme ecrite. 
rem is ulterieurement a I'administration, sous forme dechiffrable par ordinateur. 



2. 
3. 



□ 
□ 
□ 
□ 

□ 

□ 
□ 



La declaration, selon laquelle le listage des sequences presents par ecrit et fourni ulterieurement ne vas pas au-dela de la 
divulgation faite dans la demande telle que deposee, a ete fournie. 

La declaration, selon laquelle les informations enregistrees sous forme dechiffrable par ordinateur sont identiques a celles 
du listage des sequences presente par ecrit, a ete fournie. 

II a ete estime que certaines revendications ne pouvaient pas faire Pobjet d'une recherche (voir le cadre I). 
II y a absence d'unite de I'invention (voir le cadre II). 



4. En ce qui concerne le titre, 

[X] le texte est approuve tel qu'il a ete remis par le deposant. 

| | Le texte a ete etabli par I'administration et a la teneur suivante: 



5. En ce qui concerne I'abreg6, 

[Y] le texte est approuve tel qu'il a ete remis par le deposant 

□ le texte (reproduit dans le cadre III) a ete etabli par ('administration conformement a la regie 38.2b). Le deposant peut 
presenter des observations a I'administration dans un deiai d'un mois a compter de la date d'expedition du present rapport 
de recherche internationale. 

6. La figure des dessins a publier avec I'abrege est la Figure n° 3 



PH suggeree par le deposant. Q Aucune des figures 

| | parce que le deposant n'a pas suggere de figure. n est ^ P ublier - 

| | parce que cette figure caracterise mieux ('invention. 



Formulaire PCT/ISA/210 (premiere feuille) Guillet 1998) 



RAPPORT DE KECtfKCHE INTERNATIONALE 



'de Internationale No 



PCT/FR 00/00130 



A. CLASSEMENT DE L'OBJET OE LA OEMANOE 

CIB 7 H04L9/06 



Selon la classification internationale des brevets (CIB) ou a la fois selon la classification nationale at la CIB 

S. DOMAINES SUR LESQUELS LA RECHERCHE A PORTE 

Documentation minimale consulted (systeme de classification suivi des symboles de classement) 

CIB 7 H04L G06F 



Documentation consultee autre que la documentation minimale dans la mesure ou ces documents relevent des domaines sur lesquels a porte la recherche 



Base de donnees electronique consultee au cours de la recherche internationale (nom de la base de donnees, et si realisable, termes de recherche utilises) 



C. DOCUMENTS CONSIDERES COMME PERTINENTS 



Categorie ° Identification des documents cites, avec, le cas echeant, I'indication des passages pertinents 



no. des revendi cations visees 



MIYAGUCHI S: "SECRET KEY CIPHERS THAT 
CHANGE THE ENCIPHERMENT ALGORITHM UNDER 
THECONTROL OF THE KEY" 
NTT REVIEW, 
vol. 6, no. 4, 

1 julllet 1994 (1994-07-01), pages 85-90, 

XP000460342 

le document en entier 

-/- 
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j X I Voir la suite du cadre C pour la fin de la liste des documents 



Les documents de families de brevets sont indiques en annexe 



° Categories speciales de documents cites: 

"A" document definissant I'etat general de la technique, non 
considere com me particulierement pertinent 

U E" document anterieur, mais publie a ia date de depot international 
ou apres cette date 

"L" document pouvant jeter un doute sur une revendicatlon de 
priorite ou cite pour determiner la date de publication d'une 
autre citation ou pour une raison specials (telle qu'indiquee) 

"O" document se referent a une divulgation orale, a un usage, a 
une exposition ou tous autres moyens 

"P" document publie avant la date de depfit international, mais 
posterieurement a la date de priorite revendiquee 



document ulterieur publie apres la date de dep6t international ou la 
date de priorite et n'appartenenant pas a I'etat de la 
technique pertinent, mais cite pour com prendre le principe 
ou la theorie constituant la base de Pinvention 

document particulierement pertinent; I'inven tion revendiquee ne peut 
etre considered comme nouvelle ou comme impliquant une activite 
inventive par rapport au document considere isolement 

document particulierement pertinent; I'inven tion revendiquee 
ne peut etre consideree comme impliquant une activite inventive 
lorsque le document est associe a un ou plusieurs autres 
documents de meme nature, cette combinaison etant evidente 
pour une personne du metier 

document qui fait partie de la meme famille de brevets 



Date a laquelle la recherche internationale a ete effectivement achevee 

12 avr1l 2000 


Date d' expedition du present rapport de recherche internationale 

19/04/2000 


Nom et adresse postale de Tad ministration charge© de la recherche internationale 
Office Europeen des Brevets, P.B. 5818 Patentlaan 2 
NL - 2280 HV Rijswijk 
Tel. (+31-70) 340-2040, Tx. 31 651 epo nl, 
Fax: (+31-70) 340-3016 


Fonctionnaire autorise 

Gautier, L 



Foimulaire PCT/ISA/210 (deuxidme feuflle) (JuiDet 1992) 
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RAPPORT DE RECM&CHE INTERNATIONALE 



Internationale No 

PCT/FR 00/00130 



C.(sulte) DOCUMENTS CONSIDERES COMME PERTINENTS 



Categorie 0 Identification des documents cites, avec,le cas echeant, I' indie at iondes passages pertinents 



no. des revendications visees 



YI X ET AL: "A METHOD FOR OBTAINING 
CRYPTOGRAPHICALLY STRONG 8X8 S-B0XES" 
IEEE GLOBAL TELECOMMUNICATIONS CONFERENCE, 
PHOENIX, ARIZONA, NOV . 3-8, 1997, 
vol. 2, 3 novembre 1997 (1997-11-03), 
pages 689-693, XP000737626 
INSTITUTE OF ELECTRICAL AND ELECTRONICS 
ENGINEERS 
abrege 
colonne 1, 
colonne 2, 
colonne 3, 



1-5 



1 igne 13 - 1 igne 29 
ligne 6 - ligne 18 
Hgne 1 -colonne 5, ligne 1 



FR 2 672 402 A (GEMPLUS CARD INT) 
7 aout 1992 (1992-08-07) 
abrege 

page 1, ligne 4 - ligne 12 
page 3, ligne 19 - ligne 23 

figure 1 

revendication 1 



11,12 



Formuiaire PCT/ISA/210 (siite de la deuxidme feuifle) (juillet 1992) 
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INTEBttATIONAL SEARCH REPORT 

InfMRtion on patent family members 



Patent document 
cited in search report 



Publication 
date 



"ttional Application No 

PCT/FR 00/00130 



Patent family 
member(s) 



Publication 
date 



FR 2672402 



07-08-1992 



NONE 



Foim PCT/ISA/210 (patent family annex) (July 1 992) 



ffl 



TRAITE D^COOPERATION EN MATIERe DEj 

PCT 

RAPPORT D'EXAMEN PRELIMINAIRE INTERNATIONAL 

(article 36 et regie 70 du PCT) 




Reference du dossier du deposant ou du 
mandataire 

GEM0630 


voir Ja notification de transmission du rapport d'examen 
POUR SUITE A DONNER preliminaire international {formulaire PCT/IPEA/416) 


Demande intemationale n° 
PCT/FR00/00130 


Date du d§pot international (jour/mois/ann&e) 
20/01/2000 


Date de priorite (jour/mois/annee) 
17/02/1999 


Classification intemationale des brevets (CIB) ou a la fois classification nationale et CIB 
H04L9/06 


Deposant 

GEMPLUS et al. 



1. Le present rapport d'examen preliminaire international, etabii par I'administaration chargee de I'examen preliminaire 
international, est transmis au deposant conformement a I'article 36. 

2. Ce RAPPORT comprend 8 feuilles, y compris la presente feuille de couverture. 

59 II est accompagne d'ANNEXES, c'est-a-dire de feuilles de la description, des revendications ou des dessins qui ont 
ete modifiees et qui servent de base au present rapport ou de feuilles contenant des rectifications faites aupres de 
Padministration chargee de I'examen preliminaire international (voir la regie 70.16 et ('instruction 607 des Instructions 
administratives du PCT). 

Ces annexes comprennent 25 feuilles. 



3. Le present rapport contient des indications relatives aux points suivants: 



Base du rapport 
Priorite 

Absence de formulation d'opinion quant a la nouveaute, I'activite inventive et la possibility 
d'appiication industrielle 

Absence d'unite de invention 

Declaration motivee selon I'article 35(2) quant a la nouveaute, I'activite inventive et la possibility 
d'appiication industrielle; citations et explications a I'appui de cette declaration 

Certains documents cites 

Irregularites dans la demande intemationale 

Observations relatives a la demande intemationale 



I 




II 


□ 


IN 




IV 


□ 


V 


la 


VI 


□ 


VII 


□ 


VIII 





Date de presentation de la demande d'examen preliminaire 
intemationale 

14/09/2000 


Date d'achevement du present rapport 
22.05.2001 


Nom et adresse postale de radministration chargee de 
I'examen preliminaire international: 

Office europeen des brevets 
/flS) D-80298 Munich 

Tel. +49 89 2399 - 0 Tx: 523656 epmu d 

Fax: +49 89 2399 - 4465 


Fonctionnaire autorise v<S5^r>v 

Dechmann, J-L ({ ^ }) 
N° de tel6phone +49 89 2399 8826 



Formulaire PCT/IPEA/409 (feuille de couverture) Qanvier 1994) 





RAPPORT D'EXAMEN 
PRELIMINAIRE INTERNATIONAL 



Demande internationale n° PCT/FR00/001 30 



I. Base du rapport 

1 . En ce qui concerne les elements de la demande internationale (les feuilles de remplacement qui ont ete remises 
a I'office recepteur en reponse a une invitation faite conform4ment a i'articfe 14 sont considerees dans le present 
rapport comme "initiaiement deposees" et ne sont pas jointes en annexe au rapport puisqu'eiles ne contiennent 
pas de modifications (regies 70. 16 et 70. 17)): 

Description, pages: 

1-15 regue(s) le 09/03/2001 avec la lettre du 05/03/2001 
Revendications, N°: 

1-9 regue(s) le 09/03/2001 avec la lettre du 05/03/2001 
Dessins, feuilles: 

1/7-7/7 regue(s) le 09/03/2001 avec la lettre du 05/03/2001 

2. En ce qui concerne la langue, tous les elements indiques ci-dessus etaient a la disposition de ('administration ou 
lui ont ete remis dans la langue dans laquelle la demande internationale a ete deposee, sauf indication contraire 
donnee sous ce point. 

Ces elements etaient a la disposition de ('administration ou lui ont ete remis dans la langue suivante: , qui est : 

□ la langue d'une traduction remise aux fins de la recherche internationale (selon la regie 23.1 (b)). 

□ la langue de publication de la demande internationale (selon la regie 48.3(b)). 

□ la langue de la traduction remise aux fins de I'examen preliminaire internationale (selon la r£gle 55.2 ou 



3. En ce qui concerne les sequences de nucleotides ou d'acide amines divulguees dans la demande 

internationale (le cas echeant), I'examen preliminaire internationale a ete effectue sur la base du listage des 



□ contenu dans la demande internationale, sous forme ecrite. 

□ depose avec la demande internationale, sous forme dechiffrable par ordinateur. 

□ remis ulterieurement k I'administration, sous forme ecrite. 

□ remis ulterieurement a I'administration, sous forme dechiffrable par ordinateur. 

□ La declaration, selon laquelle le listage des sequences par ecrit et fourni ulterieurement ne va pas au-del& 
de la divulgation faite dans la demande telle que deposee, a 6t6 fournie. 

□ La declaration, selon laquelle les informations enregistrees sous dechiffrable par ordinateur sont identiques a 
cedes du listages des sequences Presente par 6crit, a et6 fournie. 

4. Les modifications ont entrain^ I'annulation : 



55.3). 



sequences : 



Formulaire F ^~'IPEA/409 (cadres l-Vlll, feuille 1) (juillet 1998) 




RAPPORT D'EXAMEN 
PRELIMINAIRE INTERNATIONAL 



Demande Internationale n° PCT/FR00/001 30 



□ 



de la description, 



pages : 



□ 



des revendications, n 1 



□ 



des dessins, 



feuilles : 



5. □ Le present rapport a et6 formule abstraction faite (de certaines) des modifications, qui ont ete considerees 
comme allant au-del& de l'expos6 de I'invention tel qu'il a ete depose, comme il est indique ci-apres (regie 



(Toute feuille de remplacement comportant des modifications de cette nature doit etre indiquee au point 1 et 
annexee au present rapport) 

6. Observations complementaires, le cas echeant : 



III. Absence de formulation d'opinion quant a la nouveaute, I'activite inventive et la possibility d'application 
industrielle 

1 . La question de savoir si I'objet de I'invention revendiquee semble etre nouveau, impliquer une activite inventive 
(ne pas etre evident) ou etre susceptible d'application industrielle n'a pas ete examinee pour ce qui concerne : 

□ I'ensemble de la demande internationale. 
H les revendications n os 6, 9. 



□ la demande internationale, ou les revendications n** en question, se rapportent a I'objet suivant, & regard 
duquel Tadministration chargee de I'examen preliminaire international n'est pas tenue effectuer un examen 
preliminaire international (preciser) : 



H la description, les revendications ou les dessins (en indiquerles elements ci-dessous), ou les revendications 
n M 6, 9 en question ne sont pas clairs, de sorte qu'il n'est pas possible de formuler une opinion valable 
(preciser) : 
voir feuille separee 

□ les revendications, ou les revendications n 08 en question, ne se fondent pas de fagon adequate sur la 
description, de sorte qu'il n'est pas possible de formuler une opinion valable. 

□ il n'a pas ete etabli de rapport de recherche internationale pour les revendications n os en question. 

2. Le listage des sequences de nucleotides ou d'acides amines n'est pas conforme a la norme prSvue dans 
I'annexe C des instructions administratives, de sorte qu'il n'est pas possible d'effectuer un examen preliminaire 
international significatif: 

□ le listage presents par ecrit n'a pas ete fourni ou n'est pas conforme k la norme. 

□ le listage sous forme d^chiffrable par ordinateur n'a pas et§ fourni ou n'est pas conforme k la norme. 



70.2(c)) : 



parce que : 



Formulaire PCT/IPEA/409 (cadres i-VIII, feuille 2) (juiilet 1993) 



RAPPORT D'EXAMEN 

PRELIMINAIRE INTERNATIONAL Demande internationale n° PCT/FR00/001 30 



V. Declaration motivee selon I'article 35(2) quant a la nouveaute, I'activite inventive et la possibility 
d'application industrielle; citations et explications a I'appui de cette declaration 

1. Declaration 

Nouveaute Oui : 

Non : 

Activity inventive Oui : 

Non : 

Possibility d'application industrielle Oui : 

Non : 



2. Citations et explications 
voir feuille separee 



VIII. Observations relatives a la demande internationale 

Les observations suivantes sont faites au sujet de la clarte des revendications, de la description et des dessins 
et de la question de savoir si les revendications se fondent entierement sur la description : 
voir feuille separee 



Revendications 1 -5,7-8 
Revendications 

Revendications 1 -5,7-8 
Revendications 

Revendications 1 -5,7-8 
Revendications 
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III. Non-Formulation d'opinion quant a la nouveaute, I'activite inventive et 
('application industrielle 

Voir section VIII concernant les revendications 6 et 9. 

V. Declaration motivee selon la regie 66.2.a)ii) quant a la nouveaute, I'activite 
inventive et la possibility d'application industrielle; citations et explications a 
I'appui de cette declaration 

I 

Les documents (D) suivants ont ete pris en compte pour I'etablissement du rapport 
d'examen preliminaire: 

D1 : NTT REVIEW, vol. 6, no. 4, 1 juillet 1994, pages 85-90, MIYAGUCHI S: 
"SECRET KEY CIPHERS THAT CHANGE THE ENCIPHERMENT 
ALGORITHM UNDER THE CONTROL OF THE KEY", XP000460342 

D2: INSTITUTE OF ELECTRICAL AND ELECTRONICS ENGINEERS, IEEE 

GLOBAL TELECOMMUNICATIONS CONFERENCE, PHOENIX, ARIZONA, 
NOV. 3 - 8, 1997, vol. 2, 3 novembre 1997, pages 689-693, Yl X ET AL: "A 
METHOD FOR OBTAINING CRYPTOGRAPHICALLY STRONG 8X8 S- 
BOXES", XP000737626 

D3: FR-A-2 672 402 

II 



La presente invention concerne un procede de contre-mesure contre des attaques par 
analyse differentielle de consommation de courant (ou attaques DPA: Differential 
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Power Analysis) clans un composant electronique mettant en oeuvre un algorithme de 
cryptographie a cle secrete. 

II existe de nombreux algorithmes a cles secrete pour I'execution desquels le 
microprocesseur doit effectuer a certains moment des manipulations de donnees bit 
par bit. Notamment, les algorithmes comprennent generalement des permutations qui 
necessitent de telles manipulations par le microprocesseur. 

En analysant la consommation de courant lors de ('execution de ces manipulations bit 
par bit, il est possible de retrouver la valeur de certains bits au moins de la donnee 
manipulee. La connaissance de cette donnee peut fournir des informations sur des 
resultats intermediates obtenus lors de I'execution de I'algorithme de chiffrement, qui a 
leur tour peuvent permettre de retrouver une partie au moins des bits de la cle secrete 
utilisee. 

La presente invention a pour objet de proteger les donnees sur lesquelles on effectue 
des manipulations bit par bit, en leur appliquant une contre-mesure, c'est a dire un 
brouillage, en sorte que I 'analyse de la consommation de courant lors de la 
manipulation de cette donnee ne revele aucune information sur cette donnee. 
L'invention consiste, pour une operation ou une suite d'operations appliquee sur une 
donnee d'entree et comprenant au moins une manipulation bit par bit, a tirer au 
prealable une premiere donnee aleatoire de meme taille que la premiere donnee, a 
calculer une deuxieme donnee aleatoire en effectuant un OU exclusif entre la premiere 
donnee aleatoire et la donnee d'entree, et a appliquer successivement I'operation ou la 
suite d'operations a la premiere donnee aleatoire et a la deuxieme donnee aleatoire. 
De cette maniere, I'operation ou la suite d'operations ne manipule que des donnees 
aleatoires en sorte qu'il n'est plus possible de mettre en oeuvre une attaque DPA. 
Pour retrouver la donnee de sortie correspondent a I 'application de la suite d'etapes 
sur la donnee d'entree, il suffit de calculer le OU exclusif entre le premier et le 
deuxieme resultats aleatoires. 

Le document D1 concerne une resolution a un probleme mathematique qui evite les 
attaques a message et chiffrees connues. La methode decrite modifie la sous-partie de 
la cle dans I'algorithme, de n'importe quel algorithme a cle secrete. La technologie 
decrite dans ce document consiste a effectuer des rotations de donnees et aussi de 
substitution de donnees. 
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Ainsi, la presente invention se distingue du document D1 en ce qu'elle ne modifie la 
structure de I'algorithme, ni ses entrees, ni ses sorties de donnees. L'operation XOR 
utilisee permet de masquer les donnees avec un parametre aleatoire. 

Le document D2, concerne une proposition d'amelioration des S BOX dans I'algorithme 
DES standard destinee a ameliorer la securisation sur un plan cryptanalyse, c'est a dire 
en mathematique, mais pas en cryptographie physique. 

L'invention se distingue egalement du document D2 en ce qu'elle aborde les problemes 
de cryptographies physique c'est a dire qu'elle propose de resoudre des 
problemes de mise en oeuvre par apparition d'effets secondaires ; par ailleurs 
elle ne concerne pas les S BOX mais aborde les problemes de securisation lors 
des compressions, permutations, expansions des donnees. 

Le document D3, concerne un procede et dispositif utilisant I'algorithme standard DES 
pour construire un generateur de nombres aleatoires. L'algorithme DES est un 
algorithme a cle secrete avec des donnees comme par exemple un compteur destine a 
generer en sortie un resultat qui peut etre assimile a un nombre aleatoire, resultat situe 
a I'exterieur du DES. 

L'invention se distingue du document D3 en ce qu'elle utilise un nombre aleatoire a 
I'interieur de I'algorithme DES pour securiser ('execution du DES contre tous types 
d'attaques. 

Une activite inventive est done reconnue. Les revendications 1-5, 7-8 remplissent done 
les exigences de I'Articie 33(3) PCT. 

VIII. Observations relatives a la demande internationale 

1 . La syntaxe de la revendication 6 n'est pas claire (Article 6 PCT). La premiere 
phrase ne comprend pas de verbe. Le Demandeur veut-il dire "a chaque tour ou 
une operation de OU exclusif entre la sous-cle et une donnee d'entree est 
utilisee, cette operation est remplacee par les donnee suivantes..."? 
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2. La revendication 9 n'est pas claire (Article 6 PCT) en ce qu'elle mentionne qu'une 
valeur aleatoire est generee tout en restant silencieuse sur ce qui est fait ensuite 
avec cette variable aleatoire (calcul d'une deuxieme donnee aleatoire, execution 
d'une operation, calcul d'une donnee de sortie, etc.). 

L'invention ne consiste surement pas seulement en la generation d'une variable 
aleatoire mais plutot dans les moyens qui ensuite I'utilisent afin de lutter contre 
une attaque DPA. 

La revendication d'appareil n'est done pas claire en ce qu'elle ne contient pas 
toutes les caracteristiques techniques essentielles necessaires a la definition de 
l'invention (Article 6 en combinaison avec la Regie 6.3(b) PCT. 
De plus, la formulation "de taille voulue" est relative et n'a pas de signification 
precise (voir Directives PCT, Chap. III-4.5). 

3. Les revendications 5 et 6 ne sont pas claires en ce que la formulation "caracterise 
en ce que" ne se situe pas juste apres "Precede... selon la revendication.,.". En 
effet ces deux revendications dependent indirectement de la revendication 1 qui a 
deja un preambule et une partie caracterisante. Les revendications 5 et 6 
combinees avec la revendication 1 ont done deux preambules et deux parties 
caracterisantes laissant ainsi subsister un doute quant a I'etendue de leur 
protection. 
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PROCEDE DE CONTRE -ME SURE DANS UN COMPOS ANT 
EIiE CTRONI QUE METTANT EN OEUVRE UN ALGORITHME DE 
CRYPTOGRAPHIE A CLE SECRETE 

La presente invention concerne un procede de 
contre-mesure dans un composant electronique mettant en 
beuvre un algorithme de cryptographie a cle secrete, 
lis sont utilises dans des applications ou l'acces a 
5 des services ou a des donnees est sever erne nt controle. 
De tels composants ont une architecture formee autour 
d'un microprocesseur et de memoir es , dont une memo ire 
programme qui contient la cle secrete. 

Ces composants sont notamment. utilises dans les 

10 cartes a puce, pour certaines applications de celles- 
ci . Ce sont par exemple des applications d'acces a 
certaines banques de donnees, des applications 
bancaires, des applications de tele-peage, par exemple 
pour la television, la distribution d 1 essence ou encore 

15 le passage de peages d 1 autoroutes . 

Ces composants ou ces cartes mettent done en oeuvre 
un algorithme de cryptographie a cle secrete, dont le 
plus connu est 1' algorithme DES (pour Data Encryption 
Standard dans la litterature anglo-saxonne) . D 1 autres 

20 algorithmes a cle secrete existent, comme 1 1 algorithme 
RC5 ou encore 1 1 algorithme COMP12 8. Cette liste n'est 
bien sur pas exhaustive. 

De maniere generale et succincte, ces algorithmes 
ont pour fonction de calculer un message chiffre a 

25 partir d'un message applique en entree (a la carte) par 
un systeme hote (serveur, distributeur bancaire. . .) et 
de la cle secrete contenue dans la carte, et de fournir 
en retour au systeme hote ce message chiffre, ce qui 
permet par exemple au systeme hote d 1 authentif ier le 

30 composant ou la carte, d'echanger des donnees... 
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Lies caracteristiques- des algorithmes de 
cryptographie a cle secrete sont connues calculs 
effectues, parametres utilises. La seule inconnue est 
la cle secrete contenue en memoire programme. Toute la 
5 " securite de ces algorithmes de cryptographie tient dans 
cette cle secrete contenue dans la carte et inconnue du 
monde exterieur a cette carte. Cette cle secrete ne 
peut etre deduite de la seule connaissance du message 
applique en entree et du message chiffre fourni en 
10 retour. 

Or il est apparu que des attaques externes, basees 
sur les consommations de courant ou une analyse 
dif f erentielle de consommation en courant lorsque le 
microprocesseur d'une carte est en train de derouler 

15 l'algorithme de cryptographie pour calculer un message 
chiffre, permettent a des tiers mal intentionnes de 
trouver la cle secrete contenue dans cette carte. Ces 
attaques sont appelees attaques DPA, acronyme anglo- 
saxon pour Differential Power Analysis . 

20 Le principe de ces attaques DPA repose sur le fait 

que la consommation en courant du microprocesseur 
executant des instructions varie selon la donnee 
manipulee . 

Notamment, quand une instruction executee par le 
25 microprocesseur necessite une manipulation d'une donnee 
bit par bit, on a deux profils de courant differents 
selon que ce bit vaut "1" ou "0". Typiquement, si le 
microprocesseur manipule un "0", on a a cet instant 
d* execution une premiere amplitude du courarit consomme 
30 et si le microprocesseur manipule un n 1" , on a une 
deuxieme amplitude du courant consomme, differente de 
la premiere. 

Ainsi 1 ' attaque DPA exploite la difference du 
profil de consommation en courant dans la carte pendant 
35 l r execution d'une instruction suivant la valeur du bit 
manipule. D'une maniere simplifiee, la conduite d'une 
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attaque DP A consiste a identifier une ou des periodes 
parti'culieres du- deroulement -de l'algorithme comprenant 
1' execution d'au .moins une instruction manipulant des 
dormees bit par bit; a relever un tres grand nombre N 
5 de courbes de consotnmation en' courant pendant cette ou 
ces periodes, une courbe par message different sur 
lequel on applique 1.' algorithme; k predire, pour chaque 
courbe, la valeur prise par un bit de la donnee pour 
une hypothese sur une. sous-cle, c'est a dire sur une 

10 partie au moins de la cle secrete, qui permet de faire 
la prediction ; et a effectuer un tri des courbes selon 
la fonction de selection booleenne correspondante : on 
obtient un premier paquet de courbes pour lesquelles la 
prediction vaut "1" et un deuxieme paquet de courbes 

15 *pour lesquelles la prediction vaut "0" . En effectuant 
une analyse dif f erentielle de la consommation moyenne 
en courant entre les deux paquets de courbes obtenus, 
on obtient un signal d 1 information DPA(t). Si 
1' hypothese de sous -cle n'est pas juste, chaque paquet 

20 comprend en realite autant de courbes correspondant a 
la manipulation d'un "1" que de courbes manipulant un 
"0". Les deux paquets sont done equivalents en terme de 
consommation en courant et le signal d 1 information est 
sensiblement nul. Si l'hypothese de sous-cle est juste, 

25 un paquet comprend reellement les courbes correspondant 
a la manipulation d'un "0" et 1 1 autre paquet comprend 
reellement les courbes correspondant a la manipulation 
d'un "0" : le signal d 1 information DPA(t) obtenu n'est 
pas nul : il comprend des pics de consommation 

30 correspondant a la manipulation par le microprocesseur 
du bit sur lequel on a base le tri . Ces pics ont une 
amplitude correspondant a la difference de consommation 
par le microprocesseur selon qu'il manipule un " 1" ou 
un "0". Ainsi, de proche en proche, il est possible de 

35 decouvrir tout ou partie de la cle secrete contenue 
dans un composant electronique . 
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4 



II existe de nombreux' algorithmes a cle secrete 
•• pour* 1' execution desquels le microprocesseur : doit 
effectuer a certains moments des manipulations de 
donnees bit par bit/ 

5 Notamment, les algorithmes comprennent generalement 

des permutations qui necessitent de telles 
manipulations par le microprocesseur. En analysant la 
consommation de courant lors de 1' execution de ces 
manipulations bit par bit, il est possible de retrouver 

10 la valeur de certains bits au moins de la donnee 
manipulee. La connaissance de cette donnee peut fournir 
des • informations sur des resultats intermediaires 
obtenus lors de 1' execution de 1 1 algorithme de 
chlf frement , qui a leur tour peuvent "permettre de 

!5\ retrouver une partie au moins des bits de la cle 
secrete utilisee. 

Trois documents s'approchant de 1' invention tout en 
s'en demarquant sont cites ci-dessous. 

Le premier document « NTT REVIEW, Vol.6, no. 4, du 1 

20 juillet 1997, pages 85-90, MIYAGUCHI S : « SECRET KEY 

CIPHERS THAT CHANGE THE ENC I PHERMENT ALGORITHM UNDER 
THE CONTROL OF THE KEY XP00 0460342 », note Dl , 

concerne une. resolution a un probleme mathematique qui 
evite les attaques a message et chif frees connues . La 

25 methode decrite modifie le « " key schedule traduit 
par « sous-partie de la cle dans 1' algorithme », de 
n'importe quel algorithme a cle secrete. Cependant , 
cette methode ne s'adresse plus a 1' algorithme standard 
DES, algorithme a cle secrete bien connue. La 

30 technologie decrite dans ce document consiste a 
effectuer des rotations- de donnees et aussi de 
substitution de donnees. 

Le second document « INSTITUTE OF ELECTRICAL AND 
ELECTRONICS ENGINEERS, IEEE GLOBAL TELECOMMUNICATIONS 

35 CONFERENCE, PHOENIX, ARIZONA, NOV. 3-8, 1997, vol.2, 3 
novembre 1997, pages 689-693, YI X ET AL : "A METHOD 
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FOR OBTAINING CRYPTOGRAPHI CALLY STRONG 8X8 S -BOXES" , 
XP000737626 », note - D2 , eoncerne une proposition 
d' amelioration des S BOX "dans 1 ' algorithme DES standard 
destinee a ameliorer la securisation sur un plan 
5 cryptanalyse, c'est a dire en mathematique , mais pas en 
cryptographie physique. 

Le troisieme document <c FR-A-2 672 402 », note D3 , 
eoncerne un procede et dispositif utilisant 
1' algorithme standard DES pour construire un generateur 

10 de nombres aleatoires. L ' algorithme DES est un 
algorithme a cle secrete avec des donnees comme par 
exemple un compteur destine a generer en sortie un 
resultat qui peut etre assimile a un nombre aleatoire, - 
resultat situe a l'exterieur du DES. 

15 La presente invention a pour objet de proteger les 

donnees sur lesquelles on effectue des manipulations 
bit par bit, en leur appliquant une contre-mesure, 
c'est a dire un brouillage, en sorte que 1 1 analyse de 
la consommation de courant loirs de la manipulation de 

20 cette donnee ne revel e aucune information sur cette 
donnee : le signal d 1 information DPA(t) sera toujours 
nul quelque soit les hypotheses de sous -cle ou de cle 
effectuees dans les attaques DPA. 

Telle que revendiquee, 1 1 invention eoncerne un 

25 procede de contre-mesure dans un composant electron! que 
mettant en oeuvre un algorithme cryptographique a cle 
secrete K. 

Selon I 1 invention, le procede de contre-mesure 
consiste, pour une operation ou une suite d 1 operations 

30 appliquee sur une donnee d 1 entree et comprenant au 
moins une manipulation bit par bit, a ' tirer au 
prealable une premiere donnee aleatoire de meme taille 
que la premiere donnee, a calculer une deuxieme donnee 
aleatoire en effectuant un * OU exclusif entre la 

35 premiere donnee aleatoire et la donnee d f entree, et a 
appliquer successivement 1' operation ou la suite 
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d' operations a la premiere* donnee aleatoire et a la 
deuxieme donnee aleatoire. 

De cette maniere, l 1 operation ou la . suite 
d 1 operations ne manipule que des donnees aleatoires en 
5 sorte qu'il n'est plus possible de mettre en oeuvre une 
attaque DPA. 

Pour retrouver la donnee de sortie correspondant a 
1 ' application de la suite d'etapes sur la donnee 
d 1 entree, il suffit de calculer le OU exclusif entre le 
10 premier et le deuxieme resultats aleatoires. 

Dans un premier mode d 1 application de ce procede de 
contre-mesure, I'operation ou la suite d'operations 
porte sur une donnee calculee a partir du message a 
chif frer . 

15 Dans un deuxieme mode d 1 application du procede de 

contre-mesure selon 1 1 invention, on applique ce procede 
a des operations pprtarit directement sur- la cle secrete 
et f ournissant pour chaque tour de 1 1 algorithme la 
sous-cle a utiliser. 

20 Dans ce mode d 1 application du procede de contre- 

mesure selon I 1 invention, on prevoit d'effectuer une 
premiere suite d'etapes selon le procede indique plus 
haut en sorte que l'on obtient une premiere sous-cle 
aleatoire et une deuxieme sous-cle aleatoire. 

25 Dans cette variante, au lieu de calculer la sous- 

cle vraie pour le tour considere, on utilise ces sous- 
cles aleatoires, en sorte que la sous-cle vraie de 
chaque tour n 1 apparait plus en clair : on ne manipule 
que des sous-cle aleatoires. 

30 Ainsi, la presente invention se distingue d'abord 

du document Dl en ce qu'elle concerne uniquement le DES 
sans modifier sa structure, ni ses entrees, ni ses 
sorties de donnees. L ' operation XOR utilisee decrite 
ci- des sous permet de masquer les donnees avec un 

35 parametre aleatoire. 
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Elle se distingue egalement du document D2 en ce 
. qu' elle aborde les problemes de cryptographies physique 
c'est a dire qu'elle propose de resoudre des problemes 
de mise en ceuvre par apparition d'effets secondaires ; 
5 par ailleurs elle ne conceme pas les S BOX mais aborde 
les problemes de securisation lors des compressions, 
permutations, expansions des donnees (cf figure 1 ci- 
dessous decrite) . 

Enfin, eile se distingue du document D3 en ce 
10 qu'elle utilise un nombre aleatoire a l'interieur de 
1'algorithme DES pour securiser 1' execution du DES 
contre tous types d'attaques. 

D'autres caracteristiques et avantages de 
1 ' invention sont detailles dans la description suivante 
15. • f aite a titre indicatif et nullement limitatif et en 
reference aux dessins annexes, dans lesquels : 

- les figures 1 et 2 sont des organi grammes 
detailles des premiers et derniers tours de 
1 1 algorithme DES ; 

20 - la figure 3 represente schematiquement le procede 

de contre -mesure selon 1' invention applique a une 
operation effectuant une manipulation de donnee bit par 
bit. 

la figure 4 represente un premier mode 
25 d 1 application du procede de contre-mesure selon 
1 1 invention dans 1 1 execution de 1 * algorithme DES; 

la figure 5 represente schematiquement la fin 
d' execution de 1'algorithme DES ; 

- la figure 6 represente schematiquement deux i erne 
30 mode d 1 application du procede selon 1' invention sur les 

operations de 1 ' algorithme DES manipulant la cle 
secrete; et 

- la figure 7 represente un organigramme detaille 
de 1'algorithme DES dans une application du procede de 

35 contre-mesure correspondant au schema de la figure 5; 
et 
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- la figure 8 represents un schema-bloc d'une carte 
a puce* dans laquelle on peut- mettre-- en oeuvre un 
precede de contre-mesure selon I 1 invention, 

L 1 algorithme cryptographique a cle secrete DES 
5 (dans la suite on parlera plus simplement du DES ou de 

1 ' algorithme DES) comporte 16 tours de calcul, notes Tl' 
a T16, comme represents sur les figures 1 et 2 . 

Le DES debute par une permutation initiale IP sur 
le message d r entree M (figure i) . Le message d 1 entree M 
10 est un mot f de 64 bits. Apres permutation, on obtient 
un mot e de 64 bits, que l'on coupe en deux pour former 
les parametres d' entree L0 et R0 du premier tour (Tl) . 
L0 est un mot d de 32 bits contenant les 32 bits de 
poids forts du mot e. R0 est un mot h de 32 bits 
15 contenant les 32 bits de poids faibles du mot e. 

La cle secrete K, qui est un mot q de 64 bits subit 
elle-meme une permutation et une compression pour 
fournir un mot r de 56 bits. 

Le premier tour comprend uhe operation EXP PERM sur 
20 le parametre R0, consistant en une expansion et une 
permutation, pour fournir en sortie un mot 1 de 4 8 
bits . 

Ce mot 1 est combine a un parametre Kl, dans une 
operation de type OU EXCLUSIF notee XOR, pour fournir 

25 un mot b de 48 bits. Le parametre Kl qui est un mot m 
de 4 8 bits est obtenu du mot r par un decalage d'une 
position (operation notee SHIFT sur les figures 1 et 2) 
fournissant un mot p de 4 8 bits, sur lequel on applique 
une operation comprenant une permutation et une 

30 compression (operation notee COMP PERM) . 

Le mot b est applique a une operation notee SBOX, 
en sortie de laquelle on obtient un mot a de 32 bits. 
Cette operation particuliere consiste a fournir une 
donnee de sortie a prise dans une table de constantes 

35 TCq en fonction d'une donnee d 1 entree b . 
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Le mot a subit une permutation P PERM, dormant en 
sortie le mot c de 32 bits ; 

Ce* mot c est combine au parametre d 1 entree L0 du 
premier tour Tl, dans une operation logique de type OU 
5 EXCLUSIF, notee XOR, qui fournit en sortie le mot g de 
32 bits. 

Le mot h (=R0) du premier tour fournit le parametre 
d 1 entree LI du tour suivant (T2) et le mot g du premier 
tour fournit le parametre d' entree Rl du tour suivant. 
10 Le mot p du premier tour fournit 1 1 entree r du tour 
suivant . 

Les autres tours T2 a T16 se deroulent de fagon 
similaire, excepte en ce qui concerne 1* operation de 
decalage SHIFT qui se fait sur une ou deux positions 
15 ' selon les tours consideres . 

Chaque tour Ti regoit ainsi en entree les 
parametres Li-1, Ri-1 et r et fournit en sortie les 
parametres Li et Ri et r pour le tour suivant Ti+1. 

En fin d r algorithme DES (figure 5), le message 
20 chiffre est calcule a partir des parametres L16 et R16 
fournis par le dernier tour T16. 

Ce calcul du message chiffre C comprend en pratique 
les operations suivant es : 

- formation d'un mot e 1 de 64 bits en inversant la 
25 position des mots L16 et R16 # puis en les concatenant; 

- application de la permutation IP" 1 inverse de 
celle de debut de DES, pour obtenir le mot f 1 de 64 
bits formant le message chiffre C. 

On- voit que cet algorithme comprend de nombreuses 
30 operations manipulant les donnees bit par bit, comme 
les operation de permutation. 

Selon le procede de contre-mesure selon 
1" invention, on applique une contre-mesure logicielle 
lorsque le microprocesseur qui calcule le message 
35 chiffre effectue une manipulation bit par bit. De cette 
maniere, le traitement statistique et la fonction de 
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selection booleenne ■ de I'attaque DPA applique aux 
' courbes de consommation de courant ne fournit plus 
aucune information : le signal DPA(t) reste nul quelle 
que soit les hypotheses de sous-cle effectuees. 
5 La contre-mesure ■ logicielle selon 1' invention 

consiste ainsl & rendre impredictible chacun des bits 
manipules par le microprocesseur. 

Le principe de cette contre-mesure est represents 
sur la figure 3 . 
10 Soit une donnee d 1 entree D. 

Soit une operation Opn a calculer sur cette donnee 
d ' entree D, dont le resultat est note Opn(D). Cette 
operation Opn necessite une manipulation bit par bit de 
la ' donnee d 1 entree D par le microprocesseur; il s'agit 
15 par exemple d'une permutation. 

Selon 1 1 invention, au lieu d 1 appliquer 1 1 operation 
Opn sur la donnee d ' entree D. pour calculer le resultat 
Opn(D) de l 1 operation, on effectue les differentes 
etapes suivantes : 
20 - tirage d'une valeur aleatoire pour une premiere 

donnee aleatoire U, de meme taille que la donnee 
d 1 entree D (par exemple, 32 bits) ; 

- calcul d ! une deuxieme donnee aleatoire V en 
effectuant un OU exclusif entre la donnee d 1 entree et 

25 la premiere donnee aleatoire : V = D XOR U; 

- calcul de l 1 operation Opn sur la premiere donnee 
aleatoire U, dormant un premier resultat aleatoire 
Opn(U) ; 

- calcul de 1" operation Opn sur la deuxieme donnee 
30 aleatoire V, dormant un deuxieme resultat aleatoire 

. OPN(V) ; 

- calcul du resultat Opn(D) en effectuant un OU 
exclusif entre le premier et le deuxieme resultats 
aleatoires : Opn(D) = Opn(U) XOR Opn (V) . 

35 On peut aussi bien appliquer ce procede a une seule 

operation qu'a une suite d 1 operations . 
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Un premier mode d ' application du procede de contre- 
mesure selon 1 1 invention concerne des operations, sur 
des donnees calculees a partir du message (M) sur 
lequel on applique 1 1 algorithme . La donnee d 1 entree D 
5 est dans ce cas une -donnee calculee a partir du message 
M. 

Dans un - exemple pratique de ce premier mode 
d r application a l l algorithme DES represent! sur . la 
figure 4, on applique ce procede -d'une part a 
10 l f operation EXP PERM et d' autre part a 1* operation P 
PERM, qui comprennent toutes deux une permutation 
necessitant une manipulation bit par bit. de la donnee 
d 1 entree . 

Sur la figure on note CM (EXP PERM) et CM(P PERM) 
15 1 1 application de cette contre-mesure sur ces 
operations . 

La contre-mesure logicielle selon 1 ' invention 
consiste alors a ef f ectuer a 1 la place de chaque 
operation P PERM et EXP PERM les operations CM(EXP 

20 PERM) et CM(P PERM) selon la sequence de calcul decrite 
a la figure 3, en utilisant une variable aleatoire U. 
Comme chaque tour de 1 1 algorithme comprend une 
operation EXP PERM et une operation P PERM, on peut 
appliquer cette contre-mesure dans chacun des tours du 

25 DES. 

L 1 experience montre que ce sont les trois premiers 
tours et les trois derniers tours qui permettent les 
attaques DPA. Apres, il devient tres difficile voire 
impossible de predire les bits. 

30 Aussi, une mise en oeuvre moins couteuse en temps 

de calcul d'un procede de contre-mesure selon 
l r invention consiste a ne l 1 appliquer qu'a ces trois 
premiers et trois derniers tours du DES. 

Differentes variantes d 1 application du procede de 

35 contre-mesure selon l 1 invention concerne' le tirage 
d 1 une valeur aleatoire pour la premiere donnee 
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aleatoire U. Selon que l'on dispose de beaucoup de 
; temps . de calcul ou pas, on peut tirer une nouvelle 
valeur aleatoire a chaque fois, pour chacune des 
operations ou suite d' operations pour lesquelles le 
5 procede de contre-mesure selon l f invention est mis en 
oeuvre . 

Sur la figure 4, c 1 est ainsi que, pour 1' operation 
CM (EXP PERM) , on tire une valeur ul pour la donnee 
-aleatoire U, et, pour 1' operation CM(P PERM), on tire 
10 une autre valeur u2 pour la donnee aleatoire U. 

Ou bien, on peut tirer une nouvelle valeur 
aleatoire pour chaque tour de 1 ' algorithme , ou encore 
une seule valeur aleatoire en debut d 1 algorithme . 

La mise en oeuvre du procede de contre-mesure selon 
15 l 1 invention depend principalement des applications 
concemees, selon que l'on peut consacrer beaucoup de 
temps supplementaire a la contre-mesure ou pas. • 

Un deuxieme mode d r application du procede de 
contre-mesure selon 1 1 invention est represents sur la 
20 figure 6. 11 concerne plus particulierement les 
operations de calcul appliquees a la cle secrete K pour 
fournir chacune .des sous-cles Ki utilisees dans les 
tours de 1 1 algorithme . Dans 1 * exemple du DES , ces 
operations sont les suivantes KEY PERM, executee en 
25 debut de DES et SHIFT et COMP PERM executees a chaque 
tour. Lors de ces operations, a certains moments, le 
microprocesseur manipule separement un bit de la cle 
secrete, laissant done la possibility d'une attaque DPA 
sur ce bit. 

30 On applique alors le procede de contre-mesure selon 

1' invention en protegeant la donnee, *. la- cle secrete en 
1 1 occurrence , avant d'effectuer ces operations, en 
sorte qu'il n'est plus possible d'obtenir une 
information par attaque DPA. 

35 Ainsi, et comme schematiquement represente sur la 

figure 5, on tire une valeur aleatoire d'une premiere 
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donnee aleatoire Y, de meme taille que la cle secrete 
K. On calcule une deuxieme donnee. aleatoire Z de meme 
taille, en faisant un OU exclusif entre la cle secrete 
K et la premiere donnee aleatoire Y : Z = K XOR Y. 

Dans l'exemple, la sequence d 1 operations comprend 
les operations ' suivantes KEY PERM, SHIFT, COMP PERM. 
On applique alors cette sequence d' operations sur 
chacune des deux donnees aleatoires Y et Z, 
successivement . Ainsi, a partir de ces deux donnees Y 
et Z appliquees successivement en entree, on obtient 
successivement les donnees Y* , p iy'/ k xy* * 
respectivement Z', P± z * , Ki z i, en sortie des operations 
KEY PERM, SHIFT, COMP PERM.. 

Un exemple pratique d 1 application au DES est 
represents sur la figure 7 . 

Dans le DES , l 1 operation KEY PERM n 1 est executee 
qu 1 une seule fois, au debut, tandis que la sequence 
d 1 operations SHIFT et COMP PERM est executee dans 
chaque tour. 

En outre, la sortie de I'operation SHIFT d'un tour 
Ti est appliquee comme entree de l 1 operation SHIFT du 
tour suivant Ti+1 (voir figures 1 et 2) . 

Pour appliquer le procede de contre-mesure selon le 
deuxieme mode d 1 application a cet algorithme DES, on 
applique alors la premiere operation KEY PERM sur les 
donnees aleatoires Y et Z, ce qui donne deux donnees 
aleatoires intermediaires , notees Y 1 et Z 1 . Ces deux 
donnees aleatoires intermediaires sont successivement 
appliquees a 1* operations SHIFT du premier tour Tl, 
fournissant deux donnees aleatoires intermediaires 
notees Pi Y » et Pi z > . Ces deux donnees aleatoires sont 
d'une part memorisees en memo ire de travail pour 
I'operation SHIFT du tour suivant (le deuxieme tour); 
et d * autre part appliquees successivement a I'operation 
EXP PERM du premier tour, pour fournir un premier 
resultat intermediaire K^y 1 et K l2'* 
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On procede ainsi dans chaque tour. Ainsi, a chague 
tour Ti, on obtient un premier resultat aleatoire : . * 

KiY»= EXP PERM (SHIFT (Y 1 ) ) ; 
et un deuxieme resultat aleatoire : 
5 Ki z i= EXP PERM (SHIFT (Z 1 )) ; 

et les donnees aleatoires intermediaires 
SHIFT (Y r )=Pi Y i et SHIFT (Z')=Pi z » sont memorisees en 
me moire de travail pour le tour suivant Ti+1. 

10 Pour chaque tour Ti, on pourrait alors recalculer 

la sous-cle correspondante Ki correspondant a la 
sequence d' operations KEY PERM, SHIFT et COMP PERM de 
ce tour appliquee a la cle secrete K, en faisant un OU 
exclusif entre les deux resultats aleatoires K iy' et 

15 Kj_ z t : Ki= Kiy. XOR K± z . . 

Mais de preference et comme represents sur la 
figure 1, on ne recalcule pas la sous-cle Kj_ du tour 
Ti . On applique le premier resultat aleatoire K^yi a la 
place de la sous-cle Ki dafis une operation de OU 

20 exclusif XOR ave'c la donnee 1 fournie par 1* operation 
d 1 expansion permutation EXP PERM. On obtient un 
resultat intermediaire b'. 

En effectuant ensuite un OU exclusif XOR de ce 
resultat intermediaire b 1 avec le deuxieme resultat 

25 aleatoire Kj_ z t , on retrouve la donnee de sortie 
b = XOR (1, Ki) . On effectue done les operations 
suivantes dans chaque' tour Ti, pour calculer le 
"parametre b a partir de 1 : 
b'= 1 XOR Ki Y i et 

30 b= b 1 XOR Ki 2 r 7 comme repesente pour les premier et 

deuxieme tours sur la figure 7 . 

De cette maniere, on n' utilise plus la sous-cle 
secrete elle-meme dans le calcul du message chiffre, 
mais des "sous-cles aleatoires": la cle se trouve done 

35 protegee avant et . pendant 1 ' execution de l'algorithme 
cryptographique, car K^yi et K^ 2 1 etant aleatoires et 
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non connues du monde exterieur du compos ant (ou de la 
■carte), elles sont susceptibles de changer a - chaque 
nouvelle execution de 1 1 algorithme de cryptographie. On 
notera que dans 1 1 application du procede de contre- 
5 mesure selon 1 1 invention au calcul et a 1 1 utilisation 
des sous-cles, on tire une seule fois une valeur 
aleatoire, en debut d 1 execution de 1 1 algorithme , avant 
les operations sur la cle secrete, 

Ce deuxieme mode d 1 application du procede de 

10 contre -mesure selon 1 1 invention a la cle secrete peut 
etre avant ageusement combine avec le premier mode 
d 1 application du procede de contre-mesure au calcul du 
message chiffre proprement dit, cette combinaison 
rendant particulierement efficace la contre-mesure. 

15 La presente invention s' applique a l 1 algorithme de 

cryptographie a cle secrete DES, pour lequel des 
exemples de mise en. oeuvre ont ete decrits . II 
s 1 applique plus generalement a tout algorithme de 
cryptographie a cle secrete dont I 1 execution par le 

20 microprocesseur de certaines operations necessitent une 
manipulation bit par bit de donnees . 

Un composant electronique 1 mettant en oeuvre un 
procede de contre-mesure selon 1 1 invention dans un 
algorithme de cryptographie a cle secrete DES, comprend 

25 typiquement, comme represents sur la figure 8, un 
microprocesseur oP, une- me moire programme 2 et une 
memoire de travail 3. Des moyens 4 de generation d'une 
valeur aleatoire, sont prevus qui, si on se reporte aux 
organigrammes des figures 3 et 5, fourniront les 

30 valeurs aleatoires U et/ou Y de la taille voulue (32 
. bits pour U, 64 bits pour Y) a chaque execution de 
1' algorithme de cryptographie. Un tel composant peut 
tout particulierement etre utilise dans une carte a 
puce 5, pour ameliorer son inviolabilite . 
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• REVENDI CATIONS 

1*. Procede de contre-mesure centre des attaques par 
analyse different ielle de consommation de courant dans 
un coTnposant electronique mettant en oeuvre un 
algorithme crypt ographi que a cle secrete K sur un 
5 message d 1 entree (M) , caracterise en ce que 1 'execution 
d'une operation (Opn) ou d'une sequence d' operations 
comprenant une manipulation bit par bit d'une donnee 
dVentree (D) , pour fournir une donnee de sortie 
(Opn(D)), comprend les etapes suivantes : 
10 - tirage d'une valeur aleatoire, d'une premiere 

donnee aleatoire (U) , de meme taille que la donnee 
d 1 entree (D) ; 

- calcul d'une deuxieme donnee aleatoire (V), en 
effectuant un OU exclusif entre la donnee d 1 entree et 

15 la premiere donnee aleatoire (U) ; 

- execution de 1 ' operation (Opn) ou de la sequence 
d' operation successivement a la premiere donnee 
aleatoire (U) et a la deuxieme donnee aleatoire (V) , 
fournissant respectivement un premier resultat 

20 aleatoire (Opn(U)) et un deuxieme resultat aleatoire 
(Opn(V)) ; 

- calcul de la donnee de sortie (Opn(D)) en 
effectuant un OU exclusif entre lesdits premier et 

25 deuxieme resultats aleatoires. 

2, Procede de contre-mesure selon la revendicat ion 
1, caracterise en ce qu'il est applique a des 
operations (EXP PERM, P PERM) portant sur des donnees 

30 calculees a partir du message d 1 entree (M) . 

3. Procede de contre-mesure selon l'une quelconque 
des revendicat ions precedentes, caracterise en ce que 
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I'on tire une .nouvelle valeur aleatoire (U) a chiaque 
nouvelle execution de la dite operation ou sequence 
d 1 operations . 

5 4 . Procede de contre-mesure selon la revendication 

1, applique a une operation ou une sequence 
d' operations (KEY PERM, SHIFT, COMP PERM) effectuees 
sur ladite cle secrete K. 

10 5. Procede de contre-mesure selon la revendication 

4, 1 1 algorithme de cryptographie comprenant plusieurs 
tours de calcul, et comprenant une sequence 
d' operations sur la cle secrete K pour fournir, a 
chaque tour (Tj_) , une sous -cle correspondante (K^) , 

15 procede caracterise en ce qu'il est applique a ladite 

sequence d f operations pour fournir, a chaque tour, un 

premier resultat aleatoire (K^y') et 1111 deuxieme 
resultat aleatoire (Ki z i). 

20 6. Procede de contre-mesure selon la revendication 

5, chaque tour (Ti) une operation de OU exclusif entre 
la sous-cle (K^) et une donnee d 1 entree (1) pour 
fournir une donnee de sortie (b) , caracterise en ce que 
cette operation est remplacee - par les operations 

25 suivantes : 

- calcul du OU exclusif entre ladite donnee 
d'entree (1) et le premier resultat aleatoire (K^yi) 
pour fournir un resultat intermediaire (b 1 ) ; 

- calcul du OU exclusif entre ledit resultat 
30 intermediaire (b 1 ) et le deuxieme resultat aleatoire 

(Ki 2 i) pour fournir ladite donnee de sortie (b) . 

7. Procede de contre-mesure selon 1 1 une quelconque 
des revendi cat ions 1, 2, 3, 5, et 6, caracterise en ce 
35 que 1 1 on tire une nouvelle valeur aleatoire (U ou Z) a 
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chaque nouvelle execution de 1 1 algorithme de 
cryptographic. 

8 . Pro cede de contre-mesure selon I'une quelconque 
5 d6s revendi cat ions precedentes, caracterise en ce qu'il 

est applique a 1 1 algorithme DES. 

9. Composant electronique de securite mettant en 
oeuvre le procede de contre-mesure selon 1 1 une 

10 quelconque des revendi cat ions precedentes, caracterise 
en ce qu'il comprend des moyens (4) de generation d 1 une 
valeur aleatoire, un microprocesseur (oP) , une memoire 
programme (2) et une memoire de travail (3) 7 lesdits 
moyens (4) fournissant au mo ins une valeur aleatoire 

15 (U) et/ou (Y) de la taille voulue, 32 bits pour (U) et 
64 bits pour (Y) , a chaque execution de 1 ' algorithme de 
cryptographie . 
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filed with the demand 



^ the claims: 
pages 
pages 
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pages 
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. as originally filed 
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_ . . filed with the demand 
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pages 
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pages 
pages 
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LJ the language of publication of the international application (under Rule 48.3(b)). 

o^Sf ^ of the translation furnished for the purposes of international preliminary examination (under Rule 55.2 and/ 

I" P-L^e.^^ «* i~iona, application, the tntemationa, 
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Novelty (N) 

Inventive step (IS) 
Industrial applicability (IA) 



Claims 
Claims 

Claims 
Claims 

Claims 
Claims 



1-5, 7-8 



1-5, 7-8 



1-5, 7-8 
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NO 
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2. Citations and explanations 



I 

The following documents (D) have been taken into account 
when establishing the preliminary examination report: 

Dl: NTT REVIEW, vol. 6, no. 4, 1 July 1994, pages 
8 5-90, MI YAGUCHI S: "SECRET KEY CIPHERS THAT 
CHANGE THE ENCI PHERMENT ALGORITHM UNDER THE 
CONTROL OF THE KEY", XP000460342. 

D2: INSTITUTE OF ELECTRICAL AND ELECTRONICS 

ENGINEERS, IEEE GLOBAL TELECOMMUNICATIONS 
CONFERENCE, PHOENIX, ARIZONA, NOV. 3-8, 1997, 
vol. 2, 3, 3 November 1997, pages 689-693, YI X 
ET AL: M A METHOD FOR OBTAINING 
CRYPTOGRAPH I CALL Y STRONG 8X8 S-BOXES" , 
XP000737626 

D3: FR-A-2 762 402 

II 

The present invention relates to a countermeasure 
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xnethod to be used against differential power 
analysis ( DPA) attacks in an electronic component 
using a secret key cryptographic algorithm. 

There are numerous secret key algorithms which can 
only be run by the microprocessor carrying out, at 
certain times, bit-by-bit data manipulation 
operations. In particular, algorithms generally 
include permutations requiring such manipulation 
operations by the microprocessor. 

By analysing power consumption during said bit-by- 
bit data manipulation operations, the value of at 
least a few of the manipulated data bits can be 
recovered. Such information regarding the data may 
provide further information relating to intermediate 
results obtained when executing the encryption 
algorithm, which can lead, in turn, to the recovery 
of at least a portion of the bits of the secret key 
used . 

The present invention aims to protect the data 
undergoing bit-by-bit manipulation by applying a 
countermeasure, i.e. a scrambling procedure, so that 
the analysis of power consumption during the data 
manipulation operation does not disclose any 
information regarding said data. For each operation 
or series of operations applied to input data, and 
including at least one bit-by-bit manipulation 
operation, the invention comprises the steps of 
initially drawing a first random data identical in 
size to the first data, calculating a second random 
data by carrying out an exclusive OR operation 
between the first random data and the input data, 
and sequentially applying said operation or series 
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of operations to the first random data and to the 
second random data. In this way, said operation or 
series of operations only manipulates random data, 
so that it is no longer possible to carry out a 
differential power analysis attack . Recovering the 
output data corresponding to the series of steps 
carried out on the input data simply involves 
calculating the exclusive OR between the first and 
second random results . 

Document Dl relates to a solution to a mathematical 
problem whereby known encrypted message attacks can 
be avoided. The method described includes modifying 
the subpart of the key in the algorithm, for any 
secret key algorithm. The technology described in 
said document includes data rotation as well as data 
substitution operations . 

Thus, the present invention differs from document Dl 
in that it does not modify the structure of the 
algorithm, nor the data input or output thereof. The 
XOR operation used allows data to be masked by means 
of a random parameter. 

Document D2 concerns a proposition for improving S 
BOXES in the standard DES algorithm in order to 
enhance protection at the cryptanalytical level, 
i.e. in mathematics, but not in physical 
cryptography . 

The invention also differs from document D2 in that 
it addresses physical cryptography problems, i.e. it 
proposes a solution to implementation problems 
involving the occurrence of side effects; moreover, 
it does not relate to S BOXES but addresses 
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protection problems arising in the course of data 
compression, permutation and expansion operations. 

Document D3 concerns a method and a device using the 
standard DES algorithm to produce a random number 
generator. Said DES algorithm is a secret key 
algorithm including data, such as a counter for 
generating an output result that may be assimilated 
to a random number, said result being located 
outside the DES. 



The invention differs from document D3 in that it 
uses a random number within the DES algorithm to 
protect the execution thereof against all types of 
attacks . 

An inventive step is therefore recognised. Claims 1- 
5 and 7-8 therefore meet the requirements of PCT 
Article 33(3) . 
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VIII. Certain observations on the international application 

The following observations on the clarity of the claims, description, and drawings or on the question whether the claims are fully 
supported by the description, are made: 

1. The grammatical structure of Claim 6 is not clear 
(PCT Article 6) : the first sentence does not include 
a verb. Does the applicant intend to state that 
"every time an exclusive OR operation between the 
sub-key and an input data is run, said operation is 
replaced by the following data ..." ? 

2. Claim 9 is unclear (PCT Article 6) in that it 
mentions that a random value is generated, but does 
not mention what is thereafter done with said random 
variable (calculating a second random data, carrying 
out an operation, calculating an output data, etc..) . 

Surely, the invention does not simply include 
generating a random variable, but resides rather in 
the means for using said variable to respond to DPA 
attacks . 

The device claim is therefore unclear in that it 
does not include all the essential technical 
features required to define the invention (PCT 
Article 6, in combination with PCT Rule 6.3(b)). 

Moreover, the wording M of a desired size" is a 
relative expression and has no specific meaning (see 
PCT Guidelines, Chapter III-4.5). 

3. Claims 5 and 6 are unclear in that the wording 
"characterised in that" does not immediately follow 
"Method... as per Claim..." . These two claims are 
indirectly dependent on Claim 1, which already 
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contains a preamble and a characterising portion. 
Claims 5 and 6, combined with Claim 1, therefore 
have two preambles and two characterising portions 
thereby casting a doubt on the scope of protection 
thereof . 
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